Probleme mit BlackICE Protection

Dieses Thema im Forum "Sicherheit" wurde erstellt von UserError, 27. November 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hallo zusammen,

    habe kürzlich den gesamten speicherfressenden Norton-Schrott von meinem System verbannt und mir an Stelle der Norton Firewall BlackICE Protection installiert. Soweit so gut. Das Teil lässt sich gut konfigurieren und die Ports, die eine Schwachstelle darstellen, lassen sich problemlos schließen.

    Einziges Problem: Es kommt vor, dass BlackICE zwar startet, einige Sekunden danach aber ein roter Strich quer durch das Systray-Icon der Firewall angezeigt wird. Laut Kontextmenü ist zwar die Firewallengine aktive, ein Onlinescan spricht aber eine andere Sprache.

    Stoppe ich nun die Engine, verschwindet der rote Strich. Danach muss ich die Engine wieder starten und alles ist ok. Die Firewall funktioniert.

    Kann mir jemand sagen, woran das liegt und wie ich diese lästigen Neustarts der Engine vermeiden kann?
    Wie gesagt, das Problem tritt nicht immer auf.

    Nutze übrigens WinXP Pro.

    Gruß, Marc
    [Diese Nachricht wurde von UserError am 27.11.2002 | 23:03 geändert.]
     
  2. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    welcher Dienst genau muss für Port 135 beendet werden?

    Die Prozedur unter http://www.kssysteme.de/htdocs/documents/wxpports.shtml#xp2
    habe ich exakt wie beschrieben vorgenommen.

    Müssen alle Dienste, die ich deaktiviert oder auf manuell gestellt habe, noch extra beendet werden? *puh*
     
  3. Gast

    Gast Guest

    Na da hätten wir\'s dann ja! Offensichtlich falsch gedacht. Jaja...Windows... ;)
     
  4. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Ich habe den Dienst deaktiviert, also damit wohl den Autostarttyp umgeschaltet. Explizit ausgeschaltet habe ich den Dienst nicht, weil ich eigentlich dachte, dass er das bei einem Neustart von alleine macht.
     
  5. Gast

    Gast Guest

    Nochmal zu Port 135:
    Hast Du den Dienst auch beendet oder nur den Autostarttyp umgeschaltet?

    Ich vermute letzteres, sonst MUSS er zu sein. Siehe auch:

    http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html
     
  6. cyrus

    cyrus Kbyte

    Registriert seit:
    18. April 2000
    Beiträge:
    334
    zwischenfrage, wenn ich pppoe benutze, wo muss ich dann die datei und druckerfreigabe auf diesem protokoll deaktivieren, bzw. die bindung abbrechen ?
    gruss, cyrus
     
  7. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hi franzkat,

    vielen Dank für die zusätzlichen Infos. Da BlackICE auf meinem Rechner leider sehr instabil lief und ich das auch nicht durch eine Modifikation der ini-Datei beheben konnte, war ich gezwungen, das Programm wieder zu löschen. Ich hatte festgestellt, dass es sich auch ohne sichtbare Anzeichen hin und wieder deaktivierte.

    Am Liebsten wäre es mir ja, ohne Firewall zu surfen, allerdings wird das nicht gehen, da ich, wie oft beschrieben, meinen Port 135 nicht geschlossen bekomme. Muss also für diesen einen Port eine Firewall installieren, wie mir scheint. Alle Bemühungen, die zuständigen Dienste zu deaktivieren sind gescheitert. Mit anderen Worten: ICH GEBE AUF!! :-)

    Gruß, Marc
     
  8. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Hallo Marc !

    Das ist sicherlich möglich.Anspruchsvolle Intrusion Detection Systeme beinhalten aber ein solche Fülle an ausgeklügelten Sicherheitstechnologien für größere Netzwerke, dass ein Einsatz auf einem Einzelplatzrechener um Ports zu schließen so ist, als würdest Du mit einem Formel 1-Boliden zum Brötchenkaufen fahren.Die folgende Site gibt einen groben Überblick über das,was die sog. IDS können :

    http://www.connect-gmbh.de/produkte/it_sicherheit/ids.html

    franzkat
     
  9. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    hoppla... ich glaube, jetzt habe ich den Überblick vollends verloren! :-( Ich kann mich schwach daran erinnern, dass nicht mein Port 139, sondern eher Port 135 offen ist (siehe auch: http://forum.pcwelt.de/fastCGI/pcwforum/topic_show.fpl?tid=83753 ).
     
  10. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hi franzkat,

    ich denke, dass die Konfiguration auf ein Netzwerk bezogen sicherlich nicht ganz einfach ist, aber bei einem Einzelplatzrechner stellte sie, zumindest in meinem Fall, keine große Hürde dar.

    Nach der Installation ließ ich meinen Rechner scannen und schloss nach und nach die dadurch aufgedeckten "Schwachstellen", bis mein System keine geöffneten Ports mehr zeigte.

    Gruß
     
  11. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Hallo Marc !

    Ich hatte auch mal BlackIce getestet.Als sog. Intrusion Detection-System ist es in der Tat doch eher für größere Netzwerke geeignet,bei denen z.B. der ernste Verdacht besteht, dass es Aktivivitäten gibt,in dieses Netzwerk einzudringen.Die Konfiguration war(zumindest als ich das Teil vor 1 1/2 Jahren getestet habe) auch nicht so ganz ohne.

    franzkat
     
  12. anakin_x4

    anakin_x4 Megabyte

    Registriert seit:
    26. Juni 2001
    Beiträge:
    1.078
    Hi UserError,

    wenn Du eh kein Netzwerk hast in dem Du evtl. (Betonung auf evtl. ;-) ) NetBIOS-Abfragen brauchst, spricht ja nichts dagegen, NetBIOS komplett abzuschalten ...
    Start --> Systemsteuerung --> Verwaltung --> Dienste, Rechtsklick auf TCP/IP-NetBIOS-Hilfsprogramm --> Beenden; erneuter Rechtsklick --> Starttyp : deaktiviert.
    Nun ist der Port nicht mehr in "Hab-Acht-Stellung" ;-)
    Nicht mehr zwingend nötig : dann einen Rechtsklick auf Deine Netzverbindung und in den erweiterten Einstellungen für TCP/IP unter WINS noch NetBIOS über TCP/IP deaktivieren auswählen.

    Gruss,

    anakin_x4
     
  13. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hallo Markus,

    ich habe kein Netzwerk und habe auch alle Netzwerkdienste deaktiviert.

    Bin dabei nach folgender inzwischen wohl hinlänglich bekannter Website vorgegangen:

    http://www.kssysteme.de/htdocs/documents/wxpports.shtml

    Dennoch bleibt Port 139 geöffnet. Alle anderen sind geschlossen.

    Gruß, Marc
     
  14. Gast

    Gast Guest

    Würde mich auch mal BRENNEND interessieren, was so schwer daran sein soll, die Datei-u. Druckerfreigabe NUR an das TCP/IP-Protokoll der Netzwerkkarte und NICHT an das des DFÜ/DSL-Adapters zu binden.
    Falls du das definitiv bereits erledigt hast (was ich - sorry - bezweifle), dann kanns eigentlich nur noch eine krasse Fehlinterpretation einer Meldung sein, die dich GLAUBEN lässt, der Port sei offen.
     
  15. Gast

    Gast Guest

    Herzlichen Dank, du mildtätiges, verständnisvolles Wesen. Ich kanns wahrhaftig gebrauchen.... :)
     
  16. Gast

    Gast Guest

    Hallo Marc!

    Port 139 lässt sich bei Win XP nicht schließen? Hast Du ein Netzwerk, oder wie ist die Problematik genau zu sehen?

    Grüße, Markus
    [Diese Nachricht wurde von mmk am 28.11.2002 | 00:05 geändert.]
     
  17. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hallo Steele!

    Nein, von Instabilität konnte ich weder jetzt, noch früher irgendetwas feststellen.

    Wovor ich geschützt werden will? Vor unerlaubten Zugriffen auf meinen Rechner durch geöffnete Ports. DIE Ports, die ich auch nicht durch die Beendigung einzelner aufs Internet zugreifender Dienste von Windows schließen konnte.

    Vielleicht erinnerst du dich ja auch noch an meinen permanent geöffneten Port 139, der sich durch nichts, auch nicht durch die Prozedur der von dir angegebenen Website schließen lässt! Habe wirklich alles versucht. Nun habe ich ein schlankes Programm gesucht, mit dem ich diesen einzelnen Port schließen kann, denn alle anderen sind ok. Dachte eigentlich eine Lösung in BlackICE gefunden zu haben.

    Marc
    [Diese Nachricht wurde von UserError am 28.11.2002 | 00:00 geändert.]
     
  18. Plinius

    Plinius Viertel Gigabyte

    Registriert seit:
    18. Oktober 2001
    Beiträge:
    2.811
    <I>Revanche für Cola - Kopfwehpulver reich</I>
     
  19. Gast

    Gast Guest

    Was GENAU willst du mit BlackIce schützen bzw. WOVOR willst du geschützt werden?
    Du schriebst etwas von Ports, die du problemlos schließen konntest. Du irrst. Du hast höchstens erreicht, dass der Datenverkehr über diese Ports durch BlackIce be-oder verhindert wird. Warum schließt du die Ports nicht, wie es sich gehört: Indem du das Programm beendest, das den Port unerlaubterweise öffnet???
    Soweit ich mich erinnere, beinhaltet BI ein sogenannten IntrusionDetectionSystem. Hast du auch nur ENTFERNT eine Ahnung, welche Systeminstabilitäten das Wirken dieses Features haben kann? Noch dazu auf einem Privat-PC?
    *massivkopfschüttel*
     
  20. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hi Guinn,

    auf deine Frage, ob ich weiß, welche Ports ich da schließe: Ja, ich weiß es. Habe ja lang genug diverse Forenmitglieder mit meinen Fragen genervt. :-)

    Vielen Dank für deinen Hinweis bezüglich der Deinstallation der Datei- und Druckerfreigabe.

    Ich habe inzwischen alle für mich relevanten Ports geschlossen. Du wirst lachen, aber alles funktioniert einwandfrei, selbst der Datentausch über Trillian und Filesharing über eMule und Kazaa light! ;-)

    Gruß und frohes neues Jahr

    Marc
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen